Настройка двухфакторной аутентификации MikroTik L2TP VPN
Общая информация
В статье описывается настройка MikroTik RADIUS Client для подключения к L2TP VPN c двухфакторной аутентификацией.
Возможные способы аутентификации:
Мобильное приложение MultiFactor
Звонок
Telegram
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Схема работы
- Пользователь подключается к VPN, вводит логин и пароль в MikroTik;
- MikroTik по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
- Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
- Пользователь подтверждает запрос доступа в телефоне и входит в MikroTik.
Настройка Мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел Ресурсы и создайте новый ресурс типа "Сетевой экран" - "Mikrotik".
- Заполните "Название" и "Адрес" по вашему усмотрению. Параметры "Действие при подключении второго фактора" и "Язык" отвечают за возможность настроить второй фактор непосредственно в клиенте Mikrotik при подключении пользователя без настроенного второго фактора доступа.
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
- Установите и настройте MultiFactor Radius Adapter.
Настройка MikroTik
Откройте утилиту Winbox (GUI для администрирования RouterOS).
- В разделе PPP -> Secrets -> New PPP Secret, Создаем новый PPP Secret – Присваиваем ему имя, пароль, сервис:

- В разделе PPP -> Interface -> L2TP Server -> Authentication включите протокол проверки подлинности pap

- Настройка роутера в качестве клиента RADIUS:
В разделе RADIUS добавьте внешний сервер аутентификации
- Enabled: true
- Service: ppp, ipsec
- Address: адрес адаптера
- Protocol: udp
- Secret: radius-shared-secret из настроек адаптера
- Authentication port: 1812
- Timeout: 60000
Нажмите ОК

- В разделе PPP -> Secret -> PPP Authentication & Accounting включите галку Use Radius и нажмите ОК:

Настройка WinBox
Настройка MikroTik для входа администратора в WinBox с использованием двухфакторной аутентификации.
- В Winbox перейдите в System и щелкните пункт меню Users. Появится окно со списком пользователей.
- Нажмите на кнопку ААА. Появится окно авторизации и учета при входе.
- Установите флаг Use RADIUS.
- Нажмите кнопку Apply и ОК.
- Включите флаг login в окне RADIUS Server.
Смотрите также: